憑證應用系統因應部分縣改制直轄 q 宣導說明會xca.nat.gov.tw/data/e-GPKI_9907.pdf · 1 電子化政府公開金鑰基礎建設委外服務案憑證應用系統因應部分縣改制直轄

1

電子化政府公開金鑰基礎建設委外服務案

憑證應用系統因應部分縣市改制直轄市宣導說明會

主辦機關:行政院研究發展考核委員會

執行單位:中華電信數據通信分公司

電子化政府電子認證應用研討會

2


大綱

縣市政府改制為直轄市施行時程與規劃依據

機關與單位、組織及團體所受影響預估

物件識別碼及憑證簡介

法規遵循與配套

憑證註冊初審窗口配合措施

應用系統主管機關配合事項

3


縣市政府改制為直轄市施行時程與規劃依據

4


縣市政府升格為直轄市施行時程

生效日期為 99年12月25日

主管機關為內政部

範圍為

1. 臺北縣（準直轄市) 新北市（直轄市)

2. 臺中縣與臺中市臺中市（直轄市)

3. 臺南縣與臺南市臺南市（直轄市)

4. 高雄縣與高雄市（直轄市)高雄市（直轄市)

5


內政部民政司縣市合併升格網站

6


http://www.moi.gov.tw/download.aspx?typ

e=00010

7


高雄縣市合併專屬網站http://163.29.105.100/20098616921/index.aspx

8


臺中縣市合併升格專屬網站http://big.taichung.gov.tw/

9


台南縣政府所製作的臺灣新京都,台南縣市合併升格網站http://www.tainan.gov.tw/capital/index.htm

10


台北縣升格直轄市-利多主題網

11


機關與單位、組織及團體所受影響預估

12


OID預估新增筆數

GDS機關單位

1,227 315

XDS 5,091

總計 6,633

憑證IC卡預估新增張數

GCA機關單位

5,708 948

XCA 10,241

總計 16,897

請各機關及單位與組織及團體依最低之

實際需求提出憑證申請~

部分縣市改制直轄市影響範圍

以新北市、臺中市、臺南市和高雄市為估算範圍

(高於1年帄均申請量) (機關清單需於99/9/1前取得)

13


縣市改制直轄市，機關與單位所受影響預估

OID 機關單位小計

影響總數 1,227 315 1,542

GCA 機關憑證IC卡

單位憑證IC卡

IC卡小計

伺服器軟體憑證小計

非IC卡類憑證小計

影響總數 5,708 948 6,656 112 191

依據縣市政府升格為直轄市對象統計:

以上數量未考慮

1、直轄市政府為主管機關：如公司法、勞工保險條例等，為原縣(市)政府所無之權責。

2、新設立機關：如勞動檢查機關、市立社會教育館、自來水事業等

考量至100年1月有效之件數

14


縣市改制直轄市，組織及團體所受影響預估

依據升格為直轄市之四都統計:

XCA憑證

IC卡學校

財團法人

社團法人

自由職業事務所

其他組織或團體

小計

影響總數 5,685 251 2,422 630 1,253 10,241

OID 學校財團法人

社團法人



小計

影響總數 1,572 109 1,544 701 1,165 5,091

以上數量未完全考慮

1、直轄市政府為主管機關：如空中大學設置條例，為原縣(市)政府所無之權責而新設立學校：如市立空中大學、專科學校等

2 、原中央部會主管業務移撥直轄市政府者:例如國立之高中(部份除外,如國立華僑實驗高級中學)、職校均移撥新直轄市，改國立為市立；另縣市內私立高級中等學校之管轄權改隸直轄市。

考量至 100年1月有效之件數:

15


改制計畫書所列改制後機關或學校數

下表參考內政部民政司網站公布經行政院核定之四都改制計畫書，但不含警消所屬之二級機關，且單位數無法確認:

一級機關

二級機關

區公所學校

新北市 27 108 29 未提供

臺中市 26 163 29 345

台南市 25 147 37 294

高雄市 32 150 38 349

小計 110 568 133 988+

16


組織及團體憑證初審註冊窗口所受影響預估

縣市類別組織及團體憑證初審

註冊窗口數統計

組織及團體憑證初審

註冊窗口審驗人員數統計

台北縣 14 41

臺中市 7 19

臺中縣 6 13

台南市 9 13

台南縣 6 6

高雄市 7 24

高雄縣 5 13

總數 54 129

以上未考慮原中央部會主管業務移撥直轄市政府者:例如國立之高中、職校、私立高級中等學校由教育部移撥新直轄市教育局。

依據縣市政府升格為直轄市對象統計:

17


物件識別碼及憑證簡介

18


物件識別碼（Object Identifier, OID ），可做為資訊物件的唯一識別符號，讓資訊在網際網路上傳遞更為方便與安全

許多技術規格都定義必頇使用OID

為了電子化政府的長遠發展，我國OID國碼為2.16.886，政府領琙OID保留範圍為2.16.886.0-2.16.886.999，並統一識別及管理

政府機關或組織團體之OID放在憑證的用戶目錄屬性延伸欄位中，電子簽章所使用公鑰憑證格式中加解密演算法、憑證保證等級等擴充欄位皆需靠一組OID來識別。

申請憑證時，必頇先配發機關單位、組織團體或某資訊物件的OID。

物件識別碼(OID)簡介(1)

19


物件識別碼(OID)簡介(2)

20


OID查詢

1

2

33OID異動申請說明請參考OID網站http://oid.nat.gov.tw

21


政府機關物件識別碼總覽

政府機關物件識別碼總覽

22


現行OID編碼規則(1/2)

機關(構)/單位OID編碼規則如下：

中央機關(構)/單位：2.16.886.101.{流水號}.{流水號}…{流水號}

例1：行政院研考會OID = 2.16.886.101.20003.20022

例2 ：行政院研考會資管處OID =

2.16.886.101.20003.20022.20005

地方機關(構)/單位：2.16.886.101.900xx .{流水號}.{流水號}…{流水號} (其中900xx由90001~90025為25個縣市的代碼)

例1：臺北市政府都市發展局OID =

2.16.886.101.90003.20002.20042

例2 ：臺北市政府都市發展局人事室OID =

2.16.886.101.90003.20002.20042.20008

23


現行OID編碼規則(2/2)

機關(構)/單位OID的編碼之給號：可由是否包含900xx縣市代碼來判別是否為地方機關(構)/單位

OID編碼本身並不區分機關(構)或單位，但應用系統可由GDS之EntityType屬性資料來判別該主體是機關(構)或是單位

依GDS之機關(構)/單位階層架構，系統依資料匯入之順序以流水號遞增給號，不開放機關(構)/單位對OID編碼進行選號

機關(構)/單位OID之資料來源：機關(構)：必頇先由人事行政局編訂該機關(構)之機關代碼，GDS會

自動與人事行政局資料同步，經編訂機關(構)DN後，OID系統會自動依OID編碼流水號規則編訂該機關(構)之OID

單位：由機關(構)向行政院研考會提出單位清單，經編訂單位之DN之後， OID系統會自動依OID編碼流水號規則編訂單位之OID

24


縣市改制後之OID編碼規則(1/2)

機關(構)/單位OID仍沿用原有編碼規則：中央機關(構)/單位：2.16.886.101.{流水號}.{流水號}…{流水號}

地方機關(構)/單位：2.16.886.101.900xx .{流水號}.{流水號}…{流水號} (其中900xx由90001~90025為25個縣市的代碼，但四都合併升格後，新四都將會有新的代碼)

縣市改制之GDS及OID異動原則: 屬新機關(構)/單位者(包含消滅合併者)將會配發新的OID

裁撤之機關(構)/單位則於GDS之屬性資料註記為「已裁撤」，已裁撤之機關(構)/單位的GDS資料仍在，但不會顯示於OID查詢頁面上，且已裁撤之機關(構)/單位不能申請憑證。

將舊台中市、台南市及高雄市目錄樹之根節點加上”(991225改制前)”，以資區別(新北市與台北縣則很容易區別)

也就是將DN中L=臺中市、L=臺南市、及L=高雄市之名稱加註「(991225改制前)」的字樣以便與新設直轄市之DN有所區別。

25


縣市改制後之OID編碼規則(2/2)

機關(構)/單位OID之資料來源：機關：仍維持自動與人事行政局編訂之機關代碼資料同

步，新設立或裁撤的機關會自動由GDS與人事行政局資料同步，自動編訂新機關的OID或裁撤舊機關的OID

單位：由於人事行政局並不編訂單位之單位代碼，仍必頇由機關向行政院研考會提出單位清單

26


新增四都子樹，將舊台中市、台南市及高雄市目錄樹之根節點加上”(991225改制前)”，以區別新舊三市。

以高雄市為例，縣市合併之後

GDS因應4都改制之目錄樹規劃(1/2)

L=高雄市(991225

改制前)

L=楠梓區 O=市議會 O=市政府

O=市公所

L=高雄縣

OU=人事室

L=鳳山市 O=縣議會

OU=警察局

O=縣政府

O=市民代表會

原有子樹

L=高雄市

OU=人事處

L=XX區 O=市議會

OU=警察局

O=市政府

OU=XX區公所

新子樹

27


L=臺北市

OU=市公所

O=文化局

C=TW

OU=XX區公所 OU=衛生局

…..

L=臺中市 L=高雄市L=臺南市

O=市議會L=XX區 O=市政府

…..

…..

…..

L=高雄市(991225

改制前)

L=臺南縣L=臺北縣 L=臺中縣 L=新北市

L=東區 O=市政府

…..

OU=警察局 OU=衛生局

…..

O=市議會L=板橋市 O=縣政府

…..

OU=消防局 OU=衛生局

…..

O=縣議會 L=XX區 O=市政府

…..

OU=XX區公所

OU=衛生局

…..

四都新舊機關併行期間之DIT。

L=台中市(991225

改制前)

GDS因應4都組改之目錄樹規劃(2/2)

28


網際網路我要辦理轉帳

請出示身分證明

• 公開金鑰密碼系統具有不需事先交換金鑰即可進行秘密通訊的優點，且具有實現數位簽章的特性，然而這些優點與特性完全是建立在「通訊雙方能夠正確地取得對方公鑰」的前提下，否則即有可能使訊息洩漏或收到偽造的訊息而不自知。

• 所以必頇由通訊雙方都信任的公正第三者經一定的程序，驗證個體之身分與金鑰對後簽發憑據，證明該個體確實擁有其所宣稱的公鑰之憑據。

• 此種憑據稱為憑證（Certificate），而簽發憑證的機構稱為憑證管理中心（Certification Authority；CA）。

為什麼需要憑證與憑證管理中心？

29


GPKI 各CA簽發的憑證種類及其保證等級

政府憑證總管理中心(GRCA)

經濟部工商憑證管理中心(MOEACA)

公司商號憑證機關單

位憑證

內政部憑證管理中心(MOICA)

自然人憑證

組織與團體憑證管理中心

(XCA)

政府測詴憑證管理中心(GTestCA)

第四級

各種測詴憑證

政府憑證管理中心(GCA)

簽發CA憑證

第三級

測詴級

GPKI各CA的保證等級

伺服器軟體憑證

學校憑證

財團法人憑證

社團法人憑證

自由職業事務所憑證

其他組織或團體憑證

等級數字越高者，保證程度高。

行政法人憑證

醫事憑證管理中心(HCA)

伺服器軟體憑證

醫事人員憑證

醫事機構憑證

行政機關電子憑證推行小組委員會

議

30


政府公開金鑰基礎建設(GPKI)第一層下屬CA所簽發各類憑證

政府公開金鑰基礎建設(GPKI)所簽發各類憑證一覽表

憑證機構申請對象註冊窗口主管機關

GCA 政府機關(構)及單位行政院研究發展考核委員會行政院研究發展考核委員會

MOEACA 公司、分公司及商號經濟部商業司、各縣市政府公司及商號登記機關

經濟部

MOICA 年滿十八歲之國民內政部資訊中心及各縣市戶政事務所

內政部

XCA學校、財團法人、社團法人、行政法人、自由職業事務所、其他組織或團體

各類憑證用戶之主管機關行政院研究發展考核委員會

HCA 醫事人員、醫事機構全國衛生局所行政院衛生署

GTestCAGCA、MOEACA、MOICA、XCA發證對象之測試憑證

無行政院研究發展考核委員會

31


2.擴充欄位

1.基本欄位

憑證格式版本憑證序號簽章演算法簽發者唯一識別名稱憑證有效期限用戶唯一識別名稱用戶持有的公鑰-------------------------------

金鑰用途憑證政策憑證主體別名金鑰識別碼基本限制CRL公布點用戶目錄屬性CA 簽章

憑證欄位簡介

憑證具有唯一識別性

31

32


法規遵循與配套

33


GCA CPS所記載與主體名稱相關之規定(3.1.4命名之獨特性)

3.1.4命名之獨特性為使本管理中心所簽發憑證的憑證主體名稱具備獨特性，本管理中

心採用以下名稱格式：(1)政府機關(構)憑證

C=TW

L=縣市名稱(選擇性欄位，只適用於地方政府)

L=鄉鎮市區名稱(選擇性欄位，只適用於區域性機關或單位)

O=機關(構)的法定名稱OU=附屬機關(構)的法定名稱(選擇性欄位，可以有多層)

(2)政府單位憑證C=TW



O=機關(構)的法定名稱OU=附屬機關(構)或單位的法定名稱(選擇性欄位，可以有多層)

OU=附屬單位的法定名稱

34


(3)伺服器應用軟體憑證C=TW



O=機關(構)的法定名稱OU=附屬機關(構)或單位的法定名稱(選擇性欄位，可以有

多層)

CN=伺服器應用軟體的名稱(可能是伺服應用軟體之網域名稱、網路位址或其他文字名稱)

serialNumber=伺服器應用軟體的識別代號 3.1.5命名爭議之解決程序

如發生用戶名稱所有權爭議時，將依照相關之組織法、組織條例、組織規程或其他相關法令規定處理。如發生網域名稱或網路位址所有權爭議時，用戶應依法定程序處理，並將處理結果提交本管理中心。

GCA CPS所記載與主體名稱相關之規定(3.1.4命名之獨特性)

35


GCA CPS所記載與主體名稱相關之規定(3.1.5命名爭議之解決程序)

3.1.5命名爭議之解決程序

如發生用戶名稱所有權爭議時，將依照相關之組織法、組織條例、組織規程或其他相關法令規定處理。如發生網域名稱或網路位址所有權爭議時，用戶應依法定程序處理，並將處理結果提交本管理中心。

36


XCA CPS所記載與主體名稱相關之規定(3.1.4命名之獨特性)

3.1.4命名之獨特性

本管理中心的X.500唯一識別名稱為：

C=TW，O=行政院，OU=組織及團體憑證管理中心

為使本管理中心所簽發團體或組織憑證的憑證主體名稱具備獨

特性，其名稱格式如下：

C=TW

L=縣市名稱(選擇性欄位，只適用於區域性組織或團體)

L=鄉鎮市區名稱(選擇性欄位，只適用於區域性組織或團體)

O=團體或組織的法定名稱

OU=附屬團體或組織的法定名稱(選擇性欄位，可以有多層)

37


XCA CPS所記載與主體名稱相關之規定(3.1.5命名爭議之解決程序)

3.1.5命名爭議之解決程序

如發生用戶名稱所有權爭議時，將依照相關之組織法、組

織條例、組織規程或其他相關法令規定辦理。

38


GCA CPS所規範之身分鑑別程序

3.1.8 組織身分鑑別之程序用戶申請憑證時，必頇將憑證申請書(包含政府機關

(構)、單位之名稱及地址等)以正式公文書方式進行申請，本管理中心將確認該機關(構)、單位確實存在，並驗證公文書之真確性。

用戶申請政府機關(構)、單位憑證之附卡時，除上述以公文書申請方式外，如用戶已取得正卡，亦可採線上申請方式辦理，註冊中心將檢驗正卡之數位簽章以鑑別用戶之身分。

39


3.1.8組織及團體身分鑑別之要件及程序

對於組織或團體身份之鑑別，有以下幾種方式：

(1)如屬政府機關(構)或單位，或經法律授權在特定範圍內行使公權力，具有與政府機關(構)或單位同等地位之組織或團體，得將申請書以公文書方式函送註冊中心。申請書記載該組織或團體之正式登記名稱及識別代碼等資料，並蓋用該組織或團體之印鑑章（與設立登記時所使用之印鑑章相同）。註冊中心應檢驗該組織或團體是否存在，並檢驗公文書及申請書印鑑章之真確性。

(2)如不屬政府機關(構)或單位，應指派1人代表該組織或團體，備妥申請書，並攜帶國民身分證正本親臨註冊窗口辦理。申請書記載該組織或團體之正式登記名稱、識別代碼及臨櫃申請人資料（申請書上並必頇註明委託臨櫃申請人代為臨櫃辦理）等，並蓋用該組織或團體之印鑑章（與設立登記時所使用之印鑑章相同）。註冊中心應檢驗該組織或團體是否存在，並核對臨櫃申請人之國民身分證正本是否為本人，以及檢驗申請書印鑑章之真確性。

XCA CPS所所規範之身分鑑別程序(1/2)

40


(3)如組織或團體已臨櫃辦理設立登記，並留存設立之印鑑圖記等相關登記資料於憑證註冊窗口，則組織或團體得在憑證申請書上蓋用同款之印鑑圖記章後，以郵寄申請書方式申請憑證，註冊中心將確認該組織或團體確實存在，並驗證申請書上印鑑圖記之真確性。

(4)組織或團體得在憑證申請書蓋上設立登記時之印鑑圖記，將憑證申請書送交公證人認證，並郵寄蓋有公證人認證戳記之憑證申請書正本申請憑證，註冊中心將驗證申請書上公證人認證戳記之真確性。

用戶申請憑證附卡時，除可使用上述方式申請外，如已取得憑

證正卡，亦可採線上申請方式辦理，註冊中心將檢驗憑證正卡

之數位簽章，以鑑別用戶之身分。

XCA CPS所所規範之身分鑑別程序(2/2)

41


政府機關的X.500 Name格式

C=TW


L=鄉鎮市區名稱(選擇性欄位，只適用於地方政府)

O=機關(構)的法定名稱

OU=附屬機關(構)的法定名稱(選擇性欄位，可以有多層)

依PKIX規定，所有ASN.1 DirectoryString文字編碼一律使用UTF-8編碼

「台北縣三重市公所」之機關憑證於改制後應廢止，改申請「新北市三重區公所」之機關憑證

42


政府單位的X.500 Name格式

C=TW



O=機關(構)的法定名稱

OU=附屬機關(構)或單位的法定名稱(選擇性欄位，可以有多層)

OU=附屬單位的法定名稱依PKIX規定，所有ASN.1

DirectoryString文字編碼一律使用UTF-8編碼(後續此規定於此簡報說明省略）

「台中縣豐原市公所人事室」之單位憑證於改制應廢止，重新申請「臺中市豐原區公所人事室」之單位憑證

43


GCA所發政府機關（構）或單位之伺服應用軟體憑證 X.500 命名格式

C=TW



O=機關(構)的法定名稱 OU=附屬機關(構)或單位的法

定名稱(選擇性欄位，可以有多層)

CN=伺服器應用軟體的名稱(可能是伺服應用軟體之中文名稱、Domain Name或IP Address)

serialNumber=伺服器應用軟體的識別代號(用以區分同一網域名稱或網路位址上不同的伺服器應用軟體)

台北縣警察局之SSL類伺服器應用軟體憑證於改制後應廢止，重新申請DN中L=新北市之SSL類伺服器應用軟體憑證

44


學校的X.500 Name格式

C=TW

L=縣市名稱(選擇性欄位，只適用於地區性學校)

L=鄉鎮市區名稱(選擇性欄位，只適用於地區性學校)

O=學校的正式登記名稱

OU=附屬學校的名稱

「臺南縣永康市永康國民小學」之學校憑證於改制後應廢止，重新申請「臺南市永康區永康國民小學」之學校憑證

45


財團法人的X.500 Name格式

C=TW

L=縣市名稱(選擇性欄位，只適用於地方性財團法人)

L=鄉鎮市區名稱(選擇性欄位，只適用於地方性財團法人)

O=財團法人的正式登記名稱

縣市改制後應廢止「財團法人台北縣私立秀旺社會福利慈善事業基金會」之財團法人憑證，改申請「財團法人新北市私立秀旺社會福利慈善事業基金會」之財團法人憑證,DN之L與O也應配合改

制升格異動

46


社團法人的X.500 Name格式

C=TW

L=縣市名稱(選擇性欄位，只適用於地方性社團法人)

L=鄉鎮市區名稱(選擇性欄位，只適用於地方性社團法人)

O=社團法人的正式登記名稱

「高雄縣美濃鎮農會」之社團法人憑證於縣市改制後應廢止，改申請「高雄市美濃區農會」之社團法人憑證

47


自由職業事務所的X.500 Name格式

C=TW

L=縣市名稱(選擇性欄位，只適用於地區性自由職業事務所)

O=自由職業事務所的正式登記名稱

縣市改制後應廢止「臺北縣大漢和風地政士事務所」之自由職業事務所憑證，改申請「新北市大漢和風地政士事務所」之自由職業事務所憑證

48


其他組織或團體憑證的X.500 Name格式

C=TW

L=縣市名稱(選擇性欄位，只適用於地區性組織或團體)

L=鄉鎮市名稱(選擇性欄位，只適用於地區性組織或團體)

O=組織或團體的正式登記名稱

縣市改制後應廢止「台南縣永康市私立互動托兒所」之其他組織或團體憑證,重新申請「台南市私立互動托兒所」之其他組織或團體憑證,而DN將由c=TW,l=臺南縣,l=永

康市,o=私立互動托兒所改為c=TW,l=臺南市,l=永康區,o=私立互動托兒所

49


其他組織或團體憑證的另一案例

縣市改制後應廢止「台北縣政府委託財團法人天主教耕莘醫院辦理台北縣愛維養護中心」之其他組織或團體憑證,改申請「新北市政府委託財團法人天主教耕莘醫院辦理新北市愛維養護

中心」之其他組織或團體憑證

50


縣市改制後同名組織團體名稱爭議代解決案例

臺中市與台中縣目前都有旅行商業同業公會，未來縣市改制後，兩團體是合併還是會有一個改名?否則都叫做臺中市旅行商業同業公會(兩公會之理事等人員任期可能原本也不同)

51


縣市改制其他可能異動之憑證欄位

其他可能異動之欄位

1. 除了憑證主體名稱異動外，用於安全電子郵件的憑證主體別名欄位（記載機關單位或組織團體之e-mail

address) ，或用於SSL安全機制之政府機關單位伺服器應用軟體憑證的憑證主體別名欄位所記載之網址，也有可能隨之異動。

2. 憑證中，用戶目錄屬性欄位所記載之機關單位或組織團體的物件識別碼，也可能因為機關單位或組織團體改名，而產生新的物件識別碼(OID) 。

51

52


GCA CPS所規範之廢止憑證事由(1/2)

4.4.1廢止憑證之事由用戶在以下情形時(但不限)必頇向註冊中心提出廢

止憑證申請：(1)懷疑或證實私密金鑰遭到破解。(2)憑證所記載之資訊重大改變，足以影響其信賴度。例如用

戶之機關(構)或單位裁撤或合併，或唯一識別名稱需要做變更，這包含用戶的名稱已變更，或其上級機關已變更。(3)憑證不再需要使用。

53


本管理中心得就下列情形逕行廢止憑證，毋頇事先經過用戶同意：(1)確認憑證記載之內容不實。(2)確認用戶之簽章用私密金鑰遭冒用、偽造或破解。(3)確認本管理中心之私密金鑰或系統遭冒用、偽造或破解，足

以影響憑證之信賴度。(4)確認用戶之機關(構)或單位裁撤或合併。(5)確認用戶之憑證未依本作業基準規定之程序簽發。(6)確認用戶違反本作業基準或相關法令規定。(7)依據司法機關、監察機關或治安機關之通知。(8)依用戶之上級機關或政府組織之主管機關之通知。

GCA CPS所規範之廢止憑證事由(2/2)

54


4.4.1廢止憑證之事由用戶在以下情形時(但不限)必頇向註冊中心提出廢止憑證申請：

(1)懷疑或證實私密金鑰遭到破解。

(2) 憑證所記載之內容重大改變，足以影響其信賴度。例如用戶之組織或團體遭撤銷登記、註銷登記或解散，或用戶之唯一識別名稱變更，包括用戶的名稱變更，或其主管機關變更。

(3)憑證不再需要使用。

XCA CPS所規範之廢止憑證事由(1/2)

55


本管理中心得就下列情形逕行廢止憑證，毋頇事先經過用戶同意：(1)確認憑證記載之內容不實。(2)確認用戶之簽章用私密金鑰遭冒用、偽造或破解。(3)確認本管理中心之私密金鑰或系統遭冒用、偽造或破解，足

以影響憑證之信賴度。(4)確認用戶之組織或團體遭撤銷登記、註銷登記或解散。(5)確認用戶之憑證未依本作業基準規定之程序簽發。(6)確認用戶違反本作業基準或相關法令規定。(7)依據司法機關、監察機關或治安機關之通知。(8)依據用戶之主管機關之通知。

XCA CPS所規範之廢止憑證事由(2/2)

56


相關配套

基於部分縣市改制直轄市屬於消滅合併，故改制前後唯一識別名稱（DN）、物件識別碼（OID）和憑證應該全面更新。

預計在一特定期間內將有大量換證需求，為提升申辦效率及簡化流程擬提供批次申請之相關配套。

為方便用戶行政作業擬整合物件識別碼和憑證申請資料於同一表格。

請統一由改制機關或相關主管機關（例如: 新北市政府、臺中市政府、臺南市政府、高雄市政府及農委會等）來函行政院研考會提出批次憑證申請。

57


重要時程規劃

資訊演練日(演練內容另行通知)

第一階段暫訂為99年9月1日

第二階段暫訂為99年12月1日

開始受理憑證申請日期

預定為99年10月1日

設置新舊政府機關單位憑證之緩衝期

預定為99年10日1日~100年4月30日

設定合理的舊憑證失效最晚轉換日

預定為100年5月1日

如欲於99年12月25日前取得新憑證者

務必於99年11日10日前提出憑證申請

58


機關單位應配合事項

請人事行政局提供縣市改制直轄市之新機關清單(含新增、裁撤及新舊異動關係) ，以利事先建妥機關物件識別碼(OID)。

請新北市政府、臺中市政府、臺南市政府、高雄市政府統一提供下屬機關及單位之憑證申請資料，以利編立單位OID和核發憑證(格式詳如附件批次申請表)。

請各機關單位配合參加相關宣導說明會。

請調查縣市政府升格為直轄市後之機關單位憑證需求。

59


XCA憑證註冊初審窗口配合措施

60


組織及團體憑證簡介

組織及團體憑證管理中心憑證種類及申請對象：

憑證種類申請對象

學校大學院校、技專院校、高中職、國民中小學、帅稚園等。

財團法人各目的事業主管機關主管的各類財團法人…等。

社團法人合作社、農漁會、工會、教育會、工業會、政黨…等。

行政法人待我國行政法人法完成立法後，始受理申請…等。


會計師、建築師、地政士、專業技師、藥劑師、記帳業者等自由職業所設立的事務所、藥局…等。


上述幾種以外的組織或團體，在相關的政府主管機關有登記立案但不具法人身分，例如：托兒所、寺廟、協會、學會、教師會、宗親會、同鄉會、公寓大廈管委會…等。

61


初審註冊窗口簡介

「初審註冊窗口」是由組織或團體的主管機關所設立擔任以書面審查方式，進行憑證申請者(組織或團體)的身分識別

與鑑別作業。

依XCA憑證註冊窗口作業規範運作

註冊窗口

初審註冊窗口由組織或團體主管機關擔任

書面審查憑證申請組織或團體的身分

複審註冊窗口由行政院研考會擔任

RAO使用 IC卡，登入憑證註冊系統進行案件審核

每個窗口有多個承辦人，稱為憑證註冊審驗人員 (RAO)

62


初審註冊窗口工作

書面審查組織或團體所送的憑證申請/廢止資料

識別與鑑別組織或團體身分確認組織(團體)是否存在

檢核申請書填寫資料是否正確

審查通過後將資料函轉至行政院研考會。

協助組織團體異動OID資料

63


憑證註冊窗口工作說明

64


初審註冊窗口工作說明

憑證申請案件審核作業

65


如何異動憑證註冊窗口審驗人員

請改制後變更聯絡資料或撤銷之主管機關填寫XCA憑證註冊人員（RAO）異動申請書（不限份數）

請改制後有改名或新增之主管機關新填寫XCA憑證註冊人員（RAO）申請書（不限份數）

以公文函送至行政院研考會。

行政院研考會函復同意

辦理依據，95年1月13日 95會訊字0950001085號函

XCA憑證註冊人員（RAO）申請書（WORD檔)

XCA憑證註冊人員（RAO）異動申請書

發函至研考會成立初審窗口之公文範例（WORD檔)

研考會回函敬表同意設立初審窗口之公文

F:/9907/95會訊字0950001085號函.jpg

F:/9907/95會訊字0950001085號函.jpg

F:/9907/95會訊字0950001085號函.jpg

F:/9907/95會訊字0950001085號函.jpg

F:/9907/XCA_RAO_APPLY.doc




F:/9907/XCARAO_APPLY_DOC.doc




F:/9907/窗口設立函覆範例.jpg

66


* 申請類別 □廢止 □ 修改聯絡資料

機關資料

*機關(單位)名稱

*地址

人員資料

*姓名

*聯絡電話

*傳真號碼

*電子信箱

蓋用申請機關印信(同意遵守所附之作業規定)


每一審驗人員填寫一張申請書。

縣市改制若僅更改辦公地址，請勾選修改聯絡資料

67


* 申請類別 □廢止 □ 修改聯絡資料

機關資料

*機關(單位)名稱

*地址

人員資料

*姓名

*聯絡電話

*傳真號碼

*電子信箱

蓋用申請機關印信(同意遵守所附之作業規定)


每一審驗人員填寫一張申請書。

縣市改制若機關更名或消滅，請勾選廢止

68


XCA憑證申請之便民服務

初審窗口聯絡資料會公布於XCA網站，方便用戶遞件憑證申請書

69


其他配合事項

請新北市政府、臺中市政府、臺南市政府、高雄市政府及農委會統一提供所屬組織及團體之憑證申請清單，以利編列組織及團體OID和核發憑證(格式詳如附件批次申請表)。

請所轄組織及團體配合參加相關宣導說明會。

請與應用系統主管機關配合，調查縣市政府升格為直轄市後之組織及團體憑證需求。

70



71



編列足夠經費配合縣市改制，使應用系統無縫界接

應用系統必頇能夠接受新舊憑證與新舊OID 。

會同應用系統開發廠商模擬縣市改制的異動及可能遇到的問題。

拿到新憑證後請隨即進行應用系統的測詴，經過詳細測詴與演練後，完成新版應用系統部署及預備上線。

注意行政院研究發展考核委員會及改制之機關所發公函或舉辦之各類說明會、GRCA 、 GCA及XCA

相關網站。

72


藉由數位簽章及加解密技術，鑑別網路申辦之對象、確保資料之機密性、完整性與不可否認性，GCA已上線的重要應用包括：1.中央健康保險局系統：多憑證網路承保作業帄台。

2.行政院勞工委員會：勞農保網路申辦系統。

3.行政院公共工程委員會：政府採購領投標系統。

4.行政院研究發展考核委員會：公文交換 e 網通。

5.金融監督管理委員會：證券期貨市場公文電子交換系統。

6.行政院農業委員會：公文電子交換系統。

7.具備SSL安全機制的政府機關網站8.軟體簽章9.安全電子郵件

GCA應用簡介

73


組織及團體憑證IC卡可配合數位簽章及加解密技術，用於確認網路申辦之對象、確保資料之機密性、完整性與不可否認性，已上線之重要應用包括：1.中央健康保險局系統：提供組織及團體透過網際網路進行加退保作業。

2.政府採購領投標系統：提供組織及團體利用憑證進行電子採購領標與投標作業。

3.公文交換e網通：提供組織及團體應用憑證與政府機關或其他公司行號進行公文交換。

4.勞農保網路申辦：提供組織及團體對其成員提供勞農保網路線上申辦

5.證期會公文電子交換：提供證期會所管轄之組織及團體應用憑證進行公文電子交換。

6.農委會公文電子交換：配合農委會管轄之組織及團體應用憑證進行公文電子交換。

7.安全電子郵件：使用Outlook Express、Outlook、Thunderbirds、Lotus Notes等e-mail client軟體收發安全電子郵件。

XCA應用簡介

74


應用系統可採用的一些憑證中的唯一識別特性

CA issuer name+憑證序號

CA issuer name+用戶公鑰

憑證主體名稱欄位

憑證擴充欄位的”用戶目錄屬性”中的用戶物件識別碼(OID)

IC卡卡號一般為發卡中心內部使用

75


政府機關（構）：OID

政府單位：OID

公司：統一編號 (註:公司之OID為2.16.886.102.[公司統一編號])

分公司：統一編號(註:分公司之OID為2.16.886.102. [公司統一編號].[分公司統一編號]

商號：統一編號(註:商號之OID為2.16.886.102. [縣市代碼].[商號統一編號]

社團法人：OID

財團法人：OID

學校：OID

自由職業事務所: OID

其他組織或團體: OID

自然人：身分證字號後四碼、憑證主體名稱序號（注意：不是憑證序號）(註:自然人之OID為2.16.886.100.[自然人憑證之主體名稱序號])

各類憑證主體的唯一識別代碼

76


應用系統開發之重要參考文件

GPKI的重要文件 GPKI憑證政策(Certificate Policy, CP)

GPKI技術規範(Technique Specification, TS)

GPKI各CA的憑證實務作業基準(Certification Practice Statement, CPS)

GPKI憑證及憑證廢止清冊格式剖繪(Certificate and Certificate Revocation List Profile, C&CRL-P)

應用系統公鑰憑證處理安全檢查表

前四者的關係: CP政策指導, TS及CPS實現政策

且互相參照, 依據TS及CPS的規範實現 C&CRL-P.

77


應用系統開發之重要參考文件

“應用系統公鑰憑證處理安全檢查表”檢驗應用系統是否妥善運用密碼學技術與公開金鑰基礎建設解決應用系統之安全問題.

GPKI的重要文件資料參考GRCA網站之儲存庫(http://grca.nat.gov.tw/01-06.html)

Click

78


GTestCA應用發展套件(1/2)

系統開發廠商可向GTestCA購買應用發展套件，包括：光碟片一片含(HiSECURE SDK 6.x版程式及使用手冊、

IC卡Reader安裝程式及其指引)

RSA IC卡片6片(金鑰長度2048位元，已制式化處理及印刷)

IC卡 Reader兩部

GTestCA購買應用發展套件訂價9,990元經研考會行政機關電子憑證推行小組 92/1/7審核通過

申請所需之測詴憑證，搭配HiSECURE SDK v6.x進行應用系統開發與測詴

網址：http://gtestca.nat.gov.tw/

79


GTestCA應用發展套件(2/2)

GTESTCA 發展套件服務窗口

中華電信研究所資通安全研究室賴松助先生

地址：326 桃園縣楊梅鎮民族路5段551巷12號

E-mail：[email protected]電話：（03）424-4149

傳真：（03）424-4167

mailto:[email protected]

80


安全保密函式庫標準版申請

■申請機關/單位請先向政府測詴憑證管理中心申購應用發展套件，等系統測詴一切正常後，再申請正式憑證及安全保密函式庫標準版(建議系統正式上線前一至兩個月至http://gca.nat.gov.tw/安全保密函式庫提出申請)

■機關於線上填寫安全保密函式庫申請書，填寫完畢請列印安全保密函式庫申請書及保密切結書，以公文書方式函送行政院研究發展考核委員會，若核准將提供帳號與密碼供下載安全保密函式庫

■審核窗口函送地址：100 台北市中正區濟南路一段2-2號6樓行政院研究發展考核委員會■依照帳號與密碼至https://gpkiapi.nat.gov.tw/下載安全保密函式庫

81


IC與讀卡機軟硬體應用架構圖

應用程式

HiSecure API

CSP PKSC#11

卡片管理工具

Reader

Reader driver

Smart Card Resource Manager

卡片驅動程式

讀卡機驅動程式TL 開發,安裝程式及Up to Date

更新

HiCOSPKCS11.dll libHicos_p11v1.soHiCOSCSPv32.dll

TL 開發

Unix/Linux 帄台

Windows 帄台

註冊憑證至windows

Windows 帄台 UNIX/Linux 帄台

pcsc-litewin scard Lib

有些系統需自行安裝

TokenUtility.exe

RPM安裝

PC/SC Interface

廠商自行負責

SDK

Microcontroller Hardware

Smart Card OS

PKCS #15

Card body

82


目錄服務高階API

申請JAVA跟C版本的政府機關代碼與政府機關OID高階API，請機關透過OID 或GCA或XCA網站的安全保密函式庫申請網頁登錄後發文申請。目前提供的版本功能:1.利用oid查詢機關代碼2.利用oid查詢機關名稱3.利用機關代碼查詢oid4.利用機關名稱查詢oid

申請JAVA跟C版本的組織團體OID與統一編號高階API，方式與上述相同，版本功能:

1.利用oid查詢組織(團體)統一編號或機關代碼2.利用oid查詢組織(團體)名稱3.利用組織(團體)統一編號或機關代碼查詢oid4.利用組織(團體)名稱查詢oid 以上之機關代碼僅限學校類別之XCA憑證

83


服務網址 http://gca.nat.gov.tw/

客服專線 02-7738-8066

客服信箱 [email protected]

請多參考GCA網站及客服資訊(1/2)

http://gca.nat.gov.tw/


84


請多參考GCA網站及客服資訊(2/2)

85


服務網址 http://xca.nat.gov.tw/

客服專線 02-7738-8066


請多參考XCA網站及客服資訊 (1/2)

http://xca.nat.gov.tw/


86


請多參考XCA網站及客服資訊(2/2)

87


報告完畢

請多指教

GCA服務網址 http://gca.nat.gov.tw/

XCA服務網址 http://xca.nat.gov.tw/

客服專線 02-7738-8066


http://gca.nat.gov.tw/

http://xca.nat.gov.tw/


Documents

憑證應用系統因應部分縣改制直轄 q 宣導說明會xca.nat.gov.tw/data/e-GPKI_9907.pdf · 1 電子化政府 公開金鑰基礎建設委外服務案 憑證應用系統因應部分縣改制直轄

憑證應用系統因應部分縣改制直轄 q 宣導說明會xca.nat.gov.tw/data/e-GPKI_9907.pdf · 1 電子化政府公開金鑰基礎建設委外服務案憑證應用系統因應部分縣改制直轄